La fijación de sesión es un método de secuestro de sesión que aprovecha un servidor que expone el sessionid y luego lo repara en una solicitud futura (incluso desde otra PC).
- El atacante debe establecer una conexión legítima con el servidor web que
- emite una ID de sesión o, el atacante puede crear una nueva sesión con la ID de sesión propuesta, luego,
- el atacante debe enviar un enlace con la ID de sesión establecida a la víctima, debe hacer clic en el enlace enviado por el atacante que accede al sitio,
- el servidor web vio que la sesión ya estaba establecida y no era necesario crear una nueva,
- la víctima proporciona sus credenciales al servidor web,
- conociendo la ID de sesión, el atacante puede acceder a la cuenta del usuario.
fuente: fijación de sesión
- ¿Cuáles son los pros y los contras de la pila LAMP?
- ¿Sería útil la Ley de TI para un desarrollador web?
- ¿Cuál es la forma más fácil de crear un sitio web que se vea y se sienta como Google Inbox?
- ¿Qué tan bueno es YUI como una biblioteca JavaScript de código abierto, en comparación con las alternativas actuales (2014)?
- Entonces, ¿qué necesito saber para estar en un nivel de "desarrollador web junior"? (Ese también es mi objetivo en términos de ingresar a la industria tecnológica). ¿Y cómo hago para aprenderlos?